内控体系建设是干什么_内控体系建设包括哪些方面

  电力行业作为资本密集型行业,电力企业很大比例属于央企或地方骨干国企,以及其下属各级企业,再考虑电力行业属于比较成熟的行业,相比于其他行业中的企业,电力企业通常会建立较为完善的管理体系,其中就包括内控体系,笔者协助很多电力企业进行过内控体系建设及评价,而且每次给电力企业开展内控体系建设时,都会努力实现有所创新。经过多年的管理咨询经历,笔者针对电力企业内控体系建设总结出一些方法和工具,并以曾经协助过内控体系建设的电力企业为例。

内控体系建设是干什么_内控体系建设包括哪些方面

  笔者协助客户构建“15”内部控制体系,主要内涵:搭建一个职能框架,即运用美国COSO内控框架、迈克尔•波特价值链理论、PDCA理论,依据客户原有及上级单位的职能框架体系,借鉴行业内其他最佳实践,本着“横向到边,纵向到底”设计原则,搭建公司业务流程职能框架体系;构建管理五要素,即绘制工作流程,撰写风险控制文档,设计岗位操作手册,明晰公司内部授权手册,明确公司部门职责。

“1”是内部控制体系的顶层设计,是公司管理的骨架和基础。设计过程中充分借鉴价值链、PDCA理论、美国COSO框架、内部控制18项应用指引、动态静态管控理论、系统论理论以及行业标杆案例等,体现重要性原则、部门职能划分等,涵盖公司所有管理事项。

“5”是内部控制体系的五项关键管理要素,是公司管理的核心。管理五要素是基于公司职能框架,实现“所有管理都有制度可以遵循”,并且“每项业务有且只有一部制度”、“每一项工作都有流程”、“每一项业务都有标准”、“每一项工作都可衡量、可考核”、“所有风险都可控”。管理授权是针对重大管理事项,公司明确各管理层级的权限划分。授权的权限分为提议、组织、审核/审查、审批/批准、备案。部门职责则是按照归口管理部门、主责部门、配合部门三类部门角色进行职责划分。不仅明确各部门归口和主责的管理事项(纵向事项),而且明确每类管理事项中配合部门的相应职责(横向事项)。

开展顶层设计,搭建职能框架

  职能框架是搭建内部控制体系顶层设计元素,是开展工作流程、风险控制文档、岗位操作手册、管理授权手册、部门职责管理五要素设计优化工作的前提条件。针对如何建立科学、合理、符合企业自身管理特点的职能框架,主要通过运用美国COSO内控框架、迈克尔•波特价值链理论、PDCA理论、内部控制18应用指引等,充分借鉴电力行业最佳实践,结合公司原有及上级单位职能框架体系,本着“横向到边,纵向到底”设计原则,对于所有工作事项开展业务流程分析工作,梳理公司各项业务流程目录,形成业务流程分析整体框架。在业务流程分析整体框架的设计过程中,转变观念,体现“系统化”思维,实现“职能模块化”向“流程化”转变。业务流程分析过程中打破职能条块化管理,以业务为基础,强调职能专业化管理,实现业务的全寿命、全过程管理。“15”内部控制体系流程体系细分到六级流程,体系基本涵盖公司所有管理事项,实现公司“每一项工作都有流程!”。

实施流程分析,梳理优化流程

  工作流程是指围绕企业目标有序地进行一系列活动以产生某种特定结果的过程。明确工作流程旨在理顺工作程序,明晰协作关系,即利用流程图方式清晰描绘出公司各项工作的工作程序,使之成为行为准则,并明确各层级、各部门的协作关系。通过明确完成流程所需的步骤,明确流程中的关键决策点,明确与流程相关的文档记录,明确相关任务的负责人,理解并记录公司核心活动背后的关键细节,实现现有流程可视化,从而达到有效管控企业的目的。

在明确的流程目录基础上,通过先进流程绘制软件和模板,绘制流程图,进行流程描述,并期望通过流程描述,将内控管理、风险管理融入到公司的日常经营管理活动中。流程描述包括明确各管理和业务主管部门在该项管理职能的职责、权利和义务,流程涉及的相关部门及职责、权利和义务,流程分析细化至各部门内的各岗位。

在流程梳理的基础上,采用绩效重要性矩阵、成本-收益矩阵、学习五角星法、流程优先矩阵等方法识别核心/关键业务流程,对核心流程的性能开展定性及定量分析(识别流程的关键步骤,进行评价指标设计),优化关键管控流程。

在梳理出来的流程中,识别该流程中哪些步骤可能发生风险,标注风险点;并识别每个风险应该在哪些步骤中进行控制,标注风险控制点。其中,红色菱形框为风险点,绿色三角形框为控制点。

  图 核心流程识别方法

进行风险辨识,开展风险评估

  风险管理是着眼于未来并从根本上提高公司风险预控水平的管理方式。进行风险管理有利于公司建立动态的嵌入式和专门化相结合的自我运行、自我完善、自我提升的风险管理平台和长效机制,从根本上提升公司风险管理水平。通过风险管理,避免分公司重大损失。通过对公司重大风险的量化评估和实时监控,帮助企业建立重大风险评估,重大事件应对,重大决策制定,重大信息报告和披露以及重大流程内部控制的机制,从根本上避免分公司遭受重大损失。

  以流程图辨识方法为主,结合其他风险识别方法,根据公司现有业务实际开展业务流程的风险辨识、风险评估工作,分析每个流程图中的风险点,划分风险层级,定性确定具体业务的风险等级,优化风险管控措施,建立风险库及风险清单,并分析现有控制点、控制措施是否能够达到对风险点的控制要求,通过风险辨识及评估,在业务流程中设计控制点,并根据定性风险等级建立定性控制点等级并建立控制措施,控制措施接地气、可实施、且合规,与上级公司内控标准及风险管控要求相统一。

  开展流程管控设计工作,将公司层面风险完全分解至业务层面并根据定性评估出的风险级次对应设计管控措施,重大风险增加控制点、强化控制措施,并升级为集体决策范围内;一般风险减少控制点、明确控制措施并将业务流程进行分级形成分级的业务流程管控清单。

  开展控制矩阵(业务描述表/风险控制文档)优化工作,对应流程图中每个识别出的风险点做详细的风险成因与影响结果的描述;对应流程图中的每个控制点,做控制责任、控制措施与输出的控制证据的优化,形成部门及公司控制证据库(标准表单库)。

明确岗位标准,设计操作手册

  公司基于各项业务事项,梳理各个业务的具体责任岗位、工作步骤及管理要求等,通过流程分析,细化至各部门内的各岗位,每个岗位的工作要点,要达到的工作标准,须满足的风险控制标准、形成的工作表单,涉及的工作制度索引。通过流程分析来明确岗位定位、岗位职责、岗位风险控制标准、岗位考核指标(如KPI指标等)、岗位权限等,并形成分公司岗位操作手册,从而实现岗位工作标准化,努力做到“每一项工作都有流程!每一项业务都有标准!每一项工作都可衡量、可考核”。

明晰内部授权,完善授权手册

  以职能框架中的各管理事项为横向线条,以公司管理决策层级为纵向线条进行构建。管理授权对某一具体管理事项的提议、备案、审阅;审核、会签、审议、审批的动态过程进行规定。其中:

提议:包括提出意见、建议,起草、拟订、制订相关文件,编制相关报告、规划等。

组织:对公司其他部门报送和本部门的相关事项,组织、安排和协调同级开展相关工作以及以自己名义提交上级批准。

审核/审查:通过听取汇报、组织讨论、检查、审查和考评等方式,提出相应的意见和建议,包括以会议方式进行审议。

审批/批准:在授权范围内,行使最终决策权。

备案:按照规定将有关文件、材料报送相关职能部门、领导存档备查。

提议部门:提出意见、建议,起草、拟订、制订相关文件,编制相关报告、规划等部门/中心。

归口管理部门:组织、牵头、协调部门

主责部门:某业务领域、范围具体负责的部门

关联部门:与所述管理事项有关联的部门。

提议部门分管领导:提出意见、建议,起草、拟订、制订相关文件,编制相关报告、规划等部门的业务分管领导。

关联部门分管领导:与所述管理事项有关联部门的业务分管领导。

归口管理部门分管领导:所述管理事项牵头组织部门的业务分管领导。

主责部门分管领导:负责所述管理事项或领域的分管领导。

明晰职责划分,梳理部门职责

  在流程分析的基础上,开展部门职责的梳理工作,按照归口管理部门、主责部门、配合部门三类部门角色进行职责划分。归口管理部门指组织、牵头、协调部门。主责部门指某业务领域主要负责部门。配合部门指某管理事项中参与、配合的部门。不仅明确各部门归口和主责的管理事项(纵向事项),而且明确每类管理事项中配合部门的相应职责(横向事项)。由此解决部门职责重叠、真空的现象,以及职责不明确造成的推诿、扯皮现象,实现部门之间职责的无缝链接,提高工作效率。

  在部门职责描述时,遵循“务实高效”原则,尽量避免使用空洞的语言,以及描述性的、修饰用的、模糊性、弹性的语言,而使用细致、具体、可量化的描述语言,表达言简意赅、直奔主题。充分体现部门职责可操作性、可执行性、务实高效。

  笔者协助客户按照上述六个步骤,构建“15”内部控制体系,并协助客户将其落地实施。

  作者:师砚菁,北大纵横合伙人

网站部分文章为转载,不代表本站立场,如若转载,请注明出处,如有侵犯您的权益,请联系我们进行删除:kuajingcaishui@163.com

(0)
上一篇 2022-07-21 12:32:45
下一篇 2022-07-21 12:45:46

相关推荐